翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
に割り当てられたIAMロールのアクセス許可 AWS Config
IAM ロールを使用すると、一連のアクセス許可を定義できます。 AWS Config は、S3 バケットへの書き込み、SNSトピックへの発行、 の設定詳細の取得を Describeまたは にListAPIリクエストするために割り当てたロールを引き受けます。 AWS リソースの使用料金を見積もることができます。IAM ロールの詳細については、「 IAMユーザーガイド」のIAM「ロール」を参照してください。
を使用する場合 AWS Config コンソールを使用して IAMロールを作成または更新します。 AWS Config は、必要なアクセス許可を自動的にアタッチします。詳細については、「セットアップ AWS Config コンソールで」を参照してください。
目次
IAM ロールのポリシーの作成
を使用する場合 AWS Config コンソールを使用して IAMロールを作成します。 AWS Config は、必要なアクセス許可を自動的にロールにアタッチします。
を使用している場合 AWS CLI をセットアップする AWS Config 既存のIAMロールを更新する場合は、 を許可するようにポリシーを手動で更新する必要があります。 AWS Config を使用して S3 バケットにアクセスし、SNSトピックに発行し、リソースに関する設定の詳細を取得します。
ロールへのIAM信頼ポリシーの追加
を有効にするIAM信頼ポリシーを作成できます。 AWS Config ロールを引き受け、それを使用して リソースを追跡します。信頼ポリシーの詳細については、「 IAMユーザーガイド」の「ロールの用語と概念」を参照してください。
以下は、 の信頼ポリシーの例です。 AWS Config ロール:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID" } } } ] }
上記の IAM Role Trust 関係の AWS:SourceAccount条件を使用して、Config サービスプリンシパルが とのみやり取りするように制限できます。 AWS
IAM 特定のアカウントに代わってオペレーションを実行するときのロール。
AWS Config は、所有アカウントに代わってオペレーションを実行するときにのみIAMロールを引き受けるように Config サービスプリンシパルを制限する AWS:SourceArn 条件もサポートします。を使用する場合 AWS Config サービスプリンシパル、 AWS:SourceArn プロパティは常に に設定されます。arn:aws:config:sourceRegion:sourceAccountID:*ここで、 sourceRegion は設定レコーダーのリージョンであり、 sourceAccountIDは設定レコーダーを含むアカウントの ID です。の詳細については、 AWS Config 設定レコーダー 「設定レコーダーの管理」を参照してください。例えば、次の条件を追加すると、Config サービスプリンシパルは、アカウント のus-east-1リージョン の設定レコーダーに代わってのみIAMロールを引き受けるように制限されます123456789012"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}。
IAM S3 バケットのロールポリシー
次のポリシー許可の例 AWS Config S3 バケットにアクセスするための アクセス許可:
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:PutObject", "s3:PutObjectAcl" ], "Resource":[ "arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/myAccountID/*" ], "Condition":{ "StringLike":{ "s3:x-amz-acl":"bucket-owner-full-control" } } }, { "Effect":"Allow", "Action":[ "s3:GetBucketAcl" ], "Resource":"arn:aws:s3:::amzn-s3-demo-bucket" } ] }
IAM KMSキーのロールポリシー
次のポリシー許可の例 AWS Config S3 バケット配信用の新しいオブジェクトで KMSベースの暗号化を使用するアクセス許可:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "myKMSKeyARN" } ] }
IAM Amazon SNSトピックのロールポリシー
次のポリシー許可の例 AWS Config SNS トピックにアクセスするための アクセス許可:
{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action":"sns:Publish", "Resource":"mySNStopicARN" } ] }
追加のセットアップ手順のためにSNSトピックが暗号化されている場合は、「 の設定」を参照してください。 AWS KMS 「Amazon Simple Notification Service デベロッパーガイド」の「アクセス許可」。
IAM 設定の詳細を取得するためのロールポリシー
を記録するには AWS リソース設定、 AWS Config では、 リソースに関する設定の詳細を取得するためのIAMアクセス許可が必要です。
を使用する AWS 管理ポリシーAWS_ConfigRoleを割り当てたIAMロールにアタッチする AWS Config. AWS は、毎回このポリシーを更新します。 AWS Config が のサポートを追加 AWS リソースタイプ、つまり AWS Config ロールにこの管理ポリシーがアタッチされている限り、 には設定の詳細を取得するために必要なアクセス許可が引き続き付与されます。
コンソールでロールを作成または更新する場合、 AWS Config は AWS_ConfigRoleをアタッチします。
を使用する場合 AWS CLI、 attach-role-policy コマンドを使用して、 の Amazon リソースネーム (ARN) を指定しますAWS_ConfigRole。
$aws iam attach-role-policy --role-namemyConfigRole--policy-arn arn:aws:iam::aws:policy/service-role/AWS_ConfigRole
S3 バケット記録のアクセス許可の管理
AWS Config は、S3 バケットが作成、更新、または削除されたときに通知を記録して配信します。
のいずれかを使用することをお勧めします AWSServiceRoleForConfig (「 のサービスにリンクされたロールの使用」を参照してください。 AWS Config) または AWS_ConfigRoleマネージドポリシーを利用するカスタムIAMロール。設定記録のベストプラクティスの詳細については、「」を参照してください。 AWS Config ベストプラクティス
バケット記録のオブジェクトレベルのアクセス許可を管理する必要がある場合は、 に提供する S3 バケットポリシー config.amazonaws.com ( AWS Config サービスプリンシパル名) AWS_ConfigRole管理ポリシーからのすべての S3 関連のアクセス許可へのアクセス。詳細については、Amazon S3 バケットのアクセス許可を参照してください。
